Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

W32/Simile (Etap). Un virus de difícil detección
 
VSantivirus No. 608 - Año 6 - Jueves 7 de marzo de 2002

 W32/Simile (Etap). Un virus de difícil detección
http://www.vsantivirus.com/simile.htm

Nombre: W32/Simile
Tipo: Virus
Alias: W32.Etap, W32/Etap, W32.Simile
Fecha: 6/mar/02
Tamaño: 100 Kb aprox.

Se trata de un virus de construcción sumamente compleja. Utiliza técnicas como las del "entry-point obscuring", mezcla metamorfismo con polimorfismo, etc.

Infecta los archivos ejecutables de todos los directorios de discos duros locales y compartidos en red que estén visibles en el momento que el virus es ejecutado, de acuerdo a ciertas condiciones (50% de probabilidades de infección)

Simile (o Etap), no posee carga destructiva, salvo el hecho de la infección a archivos ejecutables. Estos archivos infectados pueden mostrar ciertos mensajes en determinadas fechas.

Cuando el virus se ejecuta por primera vez, el mismo examina la fecha actual. Si el host (el ejecutable infectado que contiene al virus), se enlaza con el archivo user32.dll, entonces el 17 de los meses de marzo, junio, setiembre o diciembre, una ventana de diálogo con el siguiente mensaje, es desplegada:

MetaphoR V1 by tHE meNTAL DrILLER/29a

MetaphoR V1 by tHE meNTAL DrILLER/29a

[    OK    ]

Este texto es alterado en forma randómica.

A cierta hora del 14 de mayo, de acuerdo al idioma del sistema operativo del usuario actual, se despliega un mensaje con connotaciones políticas.

El virus tiene también la capacidad de reconstruirse, variando completamente su apariencia. Mediante un avanzado proceso, puede aumentar o disminuir su código viral.

Luego del proceso de reconstrucción, el virus busca archivos con extensión .EXE (ejecutables) en el directorio actual y en todos los demás directorios de todas las unidades de disco locales y aquellas compartidas a través de una red.

Además, cada vez que un archivo infectado es ejecutado, el mismo infecta otros archivos Win32 en el sistema.

Como vimos, existe un 50% de probabilidades de que esos otros archivos sean infectados, y la decisión para esto, parece estar relacionada conque el archivo esté escrito en C, que sea un archivo del sistema operativo antes que el de una aplicación, etc.

Cuando infecta, el virus reemplaza todas las llamadas del tipo "ExitProcess" en el código del archivo host, por saltos al código polimórfico del virus que desencripta o encripta el resto del código, el cuál se distribuye encriptado, por cualquier parte del código del host, lo que hace muy compleja su detección.

La infección no se produce si se cumple alguna de estas condiciones:

1. No se infectan archivos en subdirectorios más profundos de tres niveles.

2. No se infectan directorios que empiezan con la letra "W"

3. No se infectan archivos que comiencen con estas letras:

F-
PA
SC
DR
NO

4. Tampoco se infectarán archivos con una letra "V" en su nombre.

Existen otros complicados controles para evitar infectar archivos que contienen otros caracteres (que empiecen con "FM" o que contenga el "6" en su nombre por ejemplo), pero de acuerdo a una suma de condiciones que deben darse.

El proceso de infección utiliza tanto la estructura del código del host como el puro azar, para controlar la colocación del propio cuerpo del virus así como la del desencriptador.

Los archivos infectados suelen aumentar su tamaño en unos 100Kb, y en ocasiones no funcionan, no mostrando ningún error, simplemente devolviendo el control al usuario.

La forma caprichosa de modificarse y de modificar el código del propio host, obliga a algunos antivirus a utilizar técnicas especiales que en ocasiones causan un enlentecimiento del sistema al escanear (como en el caso del Norton).

Limpieza de un sistema infectado

Para limpiar un sistema infectado, ejecute uno o dos antivirus actualizados, y borre los archivos que aparezcan infectados por el virus W32/Simile o W32/Etap.

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS